In questi particolarissimi giorni, il tema del trattamento dei dati personali, per quanto molti non ci pensino, è tutt’altro che secondario sia per le pubbliche amministrazioni, che per le istituzioni scolastiche che per le istituzioni sanitarie.
Il Regolamento GDPR, che – come noto – da un paio d’anni circa è divenuto la regola europea comune della privacy ed è direttamente applicabile in Italia, considera anche le emergenze come quella che stiamo vivendo, causata dal coronavirus.
Esso stabilisce al considerando 46 che il trattamento di dati personali dovrebbe essere “altresì” considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato, cioè l’individuo a cui appartengono i dati personali, o di un’altra persona fisica.
Il Regolamento specifica che alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.
Questo per vari motivi, che in queste brevi riflessioni si possono solo accennare velocemente, ma che sin d’ora mi dichiaro disposto ad approfondire in qualsiasi sede, con le istituzioni competenti, a partire da Garante Privacy e Governo o con chi vorrà portarli avanti fino a costruire una proposta organica.
L’azione del Garante privacy
Il Garante Privacy sta già agendo sul fronte “sanitario” del trattamento dei dati personali ed ha pubblicato un avviso che vieta le raccolte di dati sanitari “fai da te” da parte dei datori di lavoro sulla salute dei propri dipendenti, fermo restando l’obbligo degli stessi di segnalare al datore di lavoro situazioni di rischio.
Questa rigidità è comprensibile, anche se può essere utile segnalare che in Cina, dal 9 febbraio scorso, il sistema che è stato utilizzato è stato quello di delegare la raccolta di dati personali sanitari sui propri dipendenti, i viaggi dei medesimi e le frequentazioni, proprio ai datori di lavoro, attesa la maggior facilità di raccolta e la conoscenza delle situazioni, al fine di segnalarli alle Autorità sanitarie e nel rispetto del principio di minimizzazione e della finalità specifica del trattamento; in Cina sono stati infatti costruiti sistemi di big data per mappare la diffusione del contagio a livello centralizzato, grazie appunto alle suddette deroghe.
Dunque, la scelta italiana da questo punto di vista è diversa e non pare far uso delle deroghe emergenziali consentite dal GDPR.
In questi primi giorni, ad esempio, si è visto come le istituzioni scolastiche si siano attivate con intelligenti metodi (forse, alla luce di quanto sopra, anche sovrabbondanti) per acquisire i consensi all’uso delle piattaforme elettroniche mediante Registro Elettronico e forse molti ora capiscono realmente l’utilità di questo strumento, inizialmente inviso a molti.
Si è mosso poi lo European Data Protection Board, l’organo che riunisce tutti i Garanti Privacy europei, che in un intervento sul tema del trattamento dati nell’emergenza Covid-19, ha preso posizione sul tema dei dati relativi alla geolocalizzazione, ribadendo che tali dati possono essere utilizzati ed aggregati solo su base anonima dagli operatori mobili, salvo che si stia operando sulla base di norme di pubblica sicurezza o di legislazione di emergenza con specifiche deroghe.
Nel medesimo intervento l’EPDB sottolinea come le valutazioni sulla tutela dei dati personali spettino comunque al titolare del trattamento secondo i principi fissati dal GDPR, per tutti i tipi di trattamento dei dati personali ma, anche e soprattutto, che il GDPR già contiene i criteri che consentono al titolare stesso di valutare quando non sia necessario acquisire il consenso; tali criteri, basati – come dicevo – su ragioni di emergenza sanitaria, sono contenuti all’art. 9.
Quel che però preme evidenziare non riguarda così particolari specificità dei dati sanitari o scolastici o di geolocalizzazione, quanto l’idea di utilizzare la possibilità di deroga al GDPR ai fini emergenziali – innegabilmente presenti nel periodo attuale – per aiutare la sopravvivenza delle attività economiche, secondo una finalizzazione del trattamento del dato legata all’emergenza e – per forza di cose – contingente.
Pensiamo infatti alla situazione: la circolazione delle persone, volontariamente o d’Autorità è limitata. Gli esercizi commerciali e le imprese, in gran parte chiuse o se aperte, hanno evidenti difficoltà a rapportarsi in maniera normale con la clientela. I canali commerciali abituali sono in sofferenza; l’esercizio di vicinato, l’artigiano, il piccolo supermarket, il professionista, il negozio di abbigliamento che è abituato a comunicare di persona con la propria clientela, non riesce più a raggiungere i clienti.
Al contempo i clienti si domandano – forse – come risolvere i propri problemi minimizzando le proprie uscite da casa in conformità alle misure.
Si palesa una esigenza di trattamento emergenziale? Probabilmente sì, perché non è possibile acquisire l’eventuale consenso in presenza e, dunque, ciò che si potrebbe valutare di effettuare in emergenza è – quanto meno – di richiedere il consenso a interessati con i quali non si hanno rapporti.
Ciò perché per proteggere interessi vitali degli individui, occorre consentire che i dati circolino, finché dura l’emergenza, in parziale deroga alle norme sul consenso che, come si è detto, possono essere giustificate.
Questa modalità potrebbe essere probabilmente autonomamente adottata da ciascun titolare, ma non si vede perché non potrebbe intervenire direttamente il Garante o il Governo a chiarirla.
Una deroga alle limitazioni alla circolazione dei dati
La proposta è quella che le Istituzioni competenti autorizzino, sulla base della sopra indicata normativa, le imprese che offrono servizi a domicilio o a distanza, correlati all’emergenza COVID-19 e limitatamente alla durata della medesima, ad usare dati personali comunque acquisiti (da pubblici elenchi, da informazioni di vicinato, da liste di clientela senza consenso per marketing, da fornitori di dati, ecc.) per proporre i propri servizi.
Le proposte dovrebbero avere, al primo contatto, un diritto di opt-out: non vuole essere chiamato? Non la disturbo più. Accertarsi cioè se gli interessati gradiscono in questo periodo essere contattati per offrire i propri servizi, via mail o telefono.
Ci dovrebbe essere anche una contemporanea ed altrettanto limitata deroga al Registro delle Opposizioni: magari l’offerta di un servizio di banda larga, fastidiosa in altri tempi, in questo periodo è desiderabile e andare sino al negozio (generalmente chiuso) in questo periodo – specie per gli anziani, è difficile se non impossibile.
Si tratta di una proposta semplice, possibile, d’impatto e la cui attuazione sarebbe urgente per cercare di dare una vita “telematica” all’economia che viene bloccata nella dimensione fisica.
Al contempo, cogliendo anche io una suggestione già avanzata da altri studiosi, riterrei necessaria una moratoria delle sanzioni ed accertamenti GDPR per tutta la durata dell’emergenza: le imprese sono sotto stress e, come ho segnalato, la gestione dei dati non può seguire i percorsi normali in una situazione che normale non è. Si pensi soltanto a tutti i consensi che servono all’accettazione ospedaliera o alla situazione delle scuole che devono attivare le piattaforme a distanza facendo, anche qui, firmare i relativi consensi ai genitori per il trasferimento dei dati sul cloud.
Confido nell’attenzione e nella sensibilità delle Istituzioni competenti.